公共機関を含む4,000+のWebサイトにCoinhiveが仕込まれた件についてまとめてみた

3 minute read

タイムライン

  • 10:46 PM - 11 Feb 2018:
    • @Scott_Helme(Scott Helme)が@ICOnews(イギリス・情報コミッショナーオフィス)の公式Webサイト上でCoinhiveが見つかったとツイート
  • 11:14 PM - 11 Feb 2018:
    • @Scott_HelmeがCoinhiveが埋め込まれた原因は3rdパーティーのJavaScript改ざんによるものだと特定
    • 該当のJavaScriptは@texthelp(Texthelp)が提供するBrowsealoudである
  • 11:16 PM - 11 Feb 2018:
    • @Scott_Helmeが@texthelpに改ざんされている旨を報告
  • 1:32 AM - 12 Feb 2018:
    • @ICOnewsの公式サイトがメンテナンスモードに
  • 3:44 AM - 12 Feb 2018:
    • @ncsc(イギリス・National Cyber Security Centre)が本件に関する声明を発表
  • 5:35 AM · Feb 12, 2018:
    • @BBCNewsが本件をニュースとして取り上げる
  • 5:41 AM - 12 Feb 2018:
    • @texthelpが本件についての声明を発表
  • 6:20 AM - 12 Feb 2018:
    • @texthelpが該当の改ざんされたJavaScriptが除去されたと発表
  • 8:34 AM - 12 Feb 2018:
    • @irisscert(IRISS-CERRT)が本件に関するアラートを発表
  • 3:12 AM - 13 Feb 2018:
    • @ncscが本件に関するガイドラインを発表
  • 7:46 AM - 13 Feb 2018:
    • PCMagのリポーターである@Michael_Kanからの問合せにCoinhiveが応答
      • 本件に関与したCoinhiveユーザーのアカウントは削除した
      • 本件に関与したCoinhiveユーザーの収益は0.1XMR(= 24USD)であった

攻撃経路

  • @texthelpが提供するBrowsealoudが改ざんされたことが原因
  • BrowsealoudはWebサイトのアクセシビリティを向上させるためのソフトウェア
    • イギリスを中心に多くの公共機関のWebサイトで採用されていた模様
  • BrowsealoudのJavaScript(www.browsealoud.com/plus/scripts/ba.js)が改ざんされた原因については現在も調査中

  • @marco_covaはAmazon S3経由で改ざんされたのではないかと指摘している

被害にあったWebサイト

  • キャプチャ:

Imgur

  • @bad_packetsによるPublicWWW検索結果のまとめ

改ざんされたJavaScriptについて

Imgur

対策について

@Scott_Helmeは3rdパーティーのJavaScript改ざんへの対策として、SRI & CSPの設定をすることが重要だと指摘。

関連事例

  • 本件で使用されていたCoinhiveのSiteKeyは1GdQGpY1pivrGlVHSp5P2IIr9cyTzzXq
  • このSiteKeyは別の事例でも観測されている

deccanchronicle.com & asianage.comの事例

  • 上記の事例もCDN上のJavaScript改ざんにより引き起こされている
  • 上記の事例で改ざんされたJavaScriptのURLは以下の通り
    • d2u6vujtbrga6l.cloudfront.net/js/jquery.onImagesLoad.min.js
    • cdn.deccanchronicle.com/js/jquery.onImagesLoad.min.js

maalaimalar.comの事例

  • 上記の事例で改ざんされたJavaScriptのURLは以下の通り
    • stat.maalaimalar.com/prebid_20171006092440.js/prebid.js

Updated: